4. August 2022 I Lesezeit: 8 Minuten
Climate Change Litigation I IT-Sicherheit I Systemische Risiken
Kein Abtauchen möglich: Haftungstrends bei Unternehmensleiter
Foto: Franklin Berger - franklinberger.de
von Cäsar Czeremuga, LL.M.

Ein Beitrag für die Kolumne "Recht.Voraus" in der Versicherungspraxis 7/8 2022. In der Kolumne beleuchten NORDEN Rechtsanwälte Trends in der Industrieversicherung. 

1869 publizierte Jules Verne sein Werk „20.000 Meilen unter den Meeren“, die Geschichte um den mysteriösen Kapitän Nemo (lat. „Niemand“), Erfinder des Unterseeboots „Nautilus“ (interessanterweise mit Elektroantrieb). Er hat der Menschheit an Land den Rücken gekehrt, den Menschen, die einander bekriegen und ihre Lebensgrundlagen zerstören. Er lebt in der „Nautilus“ im Meer und vom Meer allein.

Eineinhalb Jahrhunderte später, nach Industrialisierung und inmitten der Digitalisierung, hat sich die Welt verändert. Doch die Themen sind dieselben, und nur drängender geworden: Wie gehen die Menschen mit (Um)Welt und Ressourcen um? Wie setzen sie technische Entwicklungen und Möglichkeiten ein?

Klar ist: Ein Abtauchen ist nicht möglich – um in Jules Vernes Geschichte zu bleiben. Dies gilt auch für Unternehmen und Unternehmensleiter, wenn es um Klimaverantwortlichkeit und die Verantwortlichkeit für Technologien und IT-Sicherheit geht – und um eine damit einhergehende, potenzielle Haftung. Zwei Haftungstrends, die zukünftig an Bedeutung gewinnen werden.

1. Klimaverantwortlichkeit und Haftung

Die Zahl der Klimaklagen wächst. Weltweit hat sich die Anzahl rechtshängiger Klimaklagen seit 2015 mehr als verdoppelt. Zwischen 1986 und 2014 wurden über 800 Klagen erhoben, über 1200 Klagen dagegen in den letzten acht Jahren – und etwa ein Viertel davon in den letzten beiden Jahren.

Doch nicht nur die Zahl der „climate-related litigation“-Fälle steigt. Vor allem wächst die Bedeutung dieser Klagen. Mehr und mehr werden die Klagen als Instrument genutzt, die von Staaten abgegebenen Verpflichtungen zur Einhaltung von Klimaschutzzielen durchzusetzen. Es geht nicht immer darum, „zu gewinnen“. Politisches Momentum durch die Klagen ist Ziel und Mittel, und die Verfahren werden durchaus strategisch und organisiert geführt. Nach wie vor stehen Staaten im Fokus der Kläger – Unternehmen, NGOs oder Privatpersonen (circa 70 Prozent der Fälle).

Unternehmen geraten mit ihren Tätigkeiten und Produkten in den Fokus

Doch ein Trend verstärkt sich: Immer mehr richten sich Klagen gegen private Unternehmen.

Prominentes Beispiel ist der international viel beachtete Fall des peruanischen Bauern und Bergführers Saúl Luciano Lliuya gegen den deutschen Energiekonzern RWE, der vor dem Oberlandesgericht Hamm in zweiter Instanz verhandelt wird. Saúl Luciano Lliuya sieht sich wie 50.000 andere Menschen in der Risikoregion Huaraz unter der ständigen Bedrohung von Überflutungen und Erdrutschen durch das Abschmelzen des Andengletschers Palcaraju am Palcacocha-See infolge des Klimawandels. Er macht RWE als einen der größten Emittenten von Treibhausgasen in Deutschland mitverantwortlich. Er verlangt unter Eigentumsschutzgesichtspunkten nach deutschem Recht Kostenersatz von RWE für Flutschutzmaßnahmen für sein Haus, das direkt am Gletschersee liegt. Interessant dabei: RWE ist in südamerikanischen Ländern tätig – nicht aber in Peru.

Das OLG Hamm hält es rechtlich für möglich, dass der Anspruch besteht. Dies wurde Ende Mai 2022 klar, als die Richterinnen und Richter aus Hamm zusammen mit Sachverständigen nach Peru flogen – zur Beweisaufnahme, um vor Ort festzustellen, ob das Haus des Klägers tatsächlich gefährdet ist. Ein Novum, auch international.

„Wir sind nicht RWE“, werden viele Unternehmen einwenden. Die Ausgangslage ist schließlich speziell. Zum einen wird RWE mit der Begründung in Anspruch genommen, über viele Jahrzehnte als einer der Hauptemittenten zum Klimawandel beigetragen zu haben. Zum anderen steht nicht fest, ob RWE verurteilt wird. Doch klar ist: Abtauchen geht nicht. Verbraucher, aber auch Kunden und Auftraggeber, Investoren und Behörden wollen Unternehmen beim Wort nehmen können, wenn es darum geht, eine klare Unternehmenspolitik zur Klimaverantwortlichkeit zu etablieren. Der Vorwurf des „Greenwashing“ ist schnell erhoben und birgt ein erhebliches Potenzial von Reputationsschäden.

So wurde beispielsweise Shell in den Niederlanden wiederholt irreführende Werbung vorgeworfen, wie hier zuletzt berichtet. 

Vorbei sind auch die Zeiten, in denen es gegen Unternehmen aus dem Bereich fossiler Brennstoffe ging. Andere Branchen stehen ebenso im Fokus, wie etwa Landwirtschaft, der Transportsektor, die Plastikindustrie und nicht zuletzt die Finanzindustrie.

Unternehmensleiter und ihre Verantwortlichkeit werden an Bedeutung gewinnen

Auch Unternehmensleiter geraten in den Fokus von Klimaklage. Im März 2022 machte ClientEarth, eine NGO, als shareholder von Shell deren Vorstände persönlich dafür verantwortlich, keine ausreichenden Maßnahmen für eine „net-zero“-Klimastrategie getroffen zu haben. Ein Trend, der sich verstärken wird und auch hierzulande Unternehmen und Versicherer beschäftigen dürfte: Die persönliche zivilrechtliche (und ggf. strafrechtliche) Verantwortlichkeit von Unternehmensleitern für ein angemessenes Management von Klimarisiken.

2. Cybersicherheit und Haftung

Cyberschäden häufen sich; ihre Höhe nimmt zu. Cybersicherheit ist nicht nur Thema für Unternehmen. Auch die Haftungsrisiken für Unternehmensleiter im Zusammenhang mit mangelnden Risikomanagement und Cyberschäden werden sich verschärfen.

Ein Treiber dieser Entwicklung ist die EU. Im Oktober 2020 riefen die Staats- und Regierungschefs der EU dazu auf, die Fähigkeit der EU zu verbessern, sich vor Cyberbedrohungen zu schützen. Eine EU-Richtlinie stehen in den Startlöcher, die die Anforderungen an das Cybersecurity-Risikomanagement erheblich verändern und die Haftungsrisiken von Unternehmensleitern steigern wird.

EU-Richtlinie „NIS 2“ verschärft die Anforderungen an Cybersecurity-Risikomanagement

Am 13. Mai 2022 verständigten sich Vertreter von EU-Parlament, Rat und Kommission auf die Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (genannt „NIS 2“). Sie soll die Richtlinie über die Netz- und Informationssicherheit („NIS“) aus dem Jahr 2016 ersetzen, die die an sie gesetzten Erwartungen an ein hohes gemeinsames Cybersicherheitsniveau in allen Mitgliedsstaaten nicht erfüllen konnte. Mit der NIS 2 will die EU Resilienz und die Kapazitäten zur Reaktion auf Sicherheitsvorfälle sowohl des öffentlichen als auch des privaten Sektors und der EU als Ganzes weiter verbessern. Dazu sieht die Richtlinie vor:

  • Pflichten für alle Mitgliedstaaten, nationale Cybersicherheitsstrategien zu verabschieden und zuständige nationale Behörden, zentrale Anlaufstellen und Reaktionsteams für IT-Sicherheitsvorfälle (Computer Security Incident Response Teams, CSIRTs) zu benennen;
  • Vorschriften und Pflichten zum Austausch von Cybersicherheitsinformationen;
  • Pflichten in Bezug auf das Cybersicherheitsrisikomanagement sowie Meldepflichten für betroffene Unternehmen;
  • Überwachungs- und Durchsetzungspflichten der Mitgliedstaaten.

Das EU-Parlament muss die Richtlinie noch annehmen (was als Formsache gilt). Im Herbst soll es soweit sein. Anschließend haben die Mitgliedsstaaten 21 Monate Zeit, um die Richtlinie in nationales Recht umzusetzen. Schon jetzt ist klar: auf den deutschen Gesetzgeber und die betreffenden Unternehmen kommt viel Arbeit zu.

Das erst im Jahr 2021 in Kraft getretene Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (kurz: IT-Sicherheitsgesetz 2.0) muss angepasst werden, um die verschärften Sicherheitsanforderungen, Meldefristen, Aufsichtsmaßnahmen und Durchsetzungsvorschriften, insbesondere durch EU-weit harmonisierte Sanktionen, mit nationalem Recht zu harmonisieren.

Unternehmen werden ihr Risikomanagement anpassen müssen. Die Richtlinie

  • schreibt ein Risikomanagementkonzept mit grundlegenden technischen und organisatorischen Maßnahmen vor;
  • gibt schärfere Standards bei Audits, Zertifizierungen und Reportings vor;
  • regelt extrem kurze Meldepflichten bei Sicherheitsvorfällen (24 Stunden);
  • verlangt von betroffenen Unternehmen, dass sie sich mit ihren Lieferketten und Lieferbeziehungen befassen und Cybersicherheitsrisiken in der Lieferkette identifizieren.

Die Anforderungen werden im Vergleich zur EU-Richtlinie NIS und dem deutschen IT-Sicherheitsgesetz deutlich mehr Unternehmen umsetzen müssen. Die Richtlinie weitet den Anwendungsbereich auf neue Sektoren und Dienste aus. Nicht allein kritische Bereiche wie Energie stehen im Fokus. Dem Geltungsbereich der Richtlinie unterliegen zukünftig beispielsweise auch Hersteller von kritischen Produkte (z.B. Lebensmittel, Arzneimittel, medizinische Geräte) und Anbieter digitaler Dienste (z.B. Cloud-Service-Provider, soziale Netzwerkplattformen), wenn sie mehr als 50 Mitarbeiter und über zehn Millionen Jahresumsatz haben.

Risiko der persönliche Haftung von Unternehmensleitern steigt

Verstoßen Unternehmen gegen Pflichten, drohen empfindliche Bußgelder: Bei „wesentlichen Unternehmen“ in Höhe von mindestens EUR 10 Millionen oder 2 Prozent des gesamten weltweiten im vorangegangen Geschäftsjahr getätigten Umsatzes des Unternehmens (je nachdem, welcher Betrag höher ist); bei „wichtigen Unternehmen“ EUR 7 Millionen bzw. 1,4 Prozent des Umsatzes.

Leitungsorgane betroffener Unternehmen sollen für Verstöße gegen die Pflichten zur Cybersicherheit verantwortlich gemacht werden können. Die Richtlinie sieht vor, dass die Mitgliedsstaaten sicherstellen, dass die Leitungsorgane betroffener Unternehmen Risikomanagementmaßnahmen billigen, ihre Umsetzung überwachen und „für Verstöße gegen ihre Pflichten zur Gewährleistung der Einhaltung der in dieser Richtlinie festgelegt Verpflichtungen haftbar gemacht werden können“.

Wie der deutsche Gesetzgeber diese Anforderung konkret umsetzt, bleibt abzuwarten. Die Entwicklungen auf EU-Ebene verdeutlichen aber einen Trend zur Erweiterung der Haftung von Unternehmensleitern im Zusammenhang mit Versäumnissen in der IT-Sicherheit.

Ihr Ansprechpartner:

Cäsar Czeremuga, LL.M.

Rechtsanwalt I Partner
Master of Insurance Law

 

T + 49 211 822 68 09-1
E caesar.czeremuga@norden-legal.de

without
https://norden-legal.de/wp-content/themes/aspen/
https://norden-legal.de/
#ffffff
style2
default
Loading posts...
/mnt/web605/a1/28/511451128/htdocs/STRATO-apps/wordpress_02/app/
#
on
none
loading
#
Sort Gallery
on
yes
yes
off
on
on